Slide 1
Slide 1 text
PCI DSS運用とv4.0対応
金澤 康道
Slide 2
Slide 2 text
Copyright Kanmu, Inc. All right reserved. 2
金澤 康道
Security Engineer at Kanmu, Inc.
@s_liva
自己紹介
Slide 3
Slide 3 text
Copyright Kanmu, Inc. All right reserved. 3
PCI DSSとは
セキュリティ屋から見たPCI DSS
カンムのPCI DSS
v4.0対応に向けてカンムがやっていくこと
1
2
3
アジェンダ
4
Slide 4
Slide 4 text
PCI DSSとは
1
Slide 5
Slide 5 text
Copyright Kanmu, Inc. All right reserved.
PCI DSSとは
5
クレジットカード業界のセキュリティ基準
1
● 加盟店やサービスプロバイダがクレジットカード会員のデータを
安全に取り扱うことを目的として策定された
● PCI SSCが運用と管理をしている
● PCI SSCはクレジットカードの国際ブランド5社が共同設立
● 定期的にバージョンが上がっていて最新はv4.0
共同設立
Slide 6
Slide 6 text
Copyright Kanmu, Inc. All right reserved.
PCI DSSとは
6
要件の記載例
1
Slide 7
Slide 7 text
Copyright Kanmu, Inc. All right reserved.
PCI DSSとは
7
要件の書かれ方
1
Slide 8
Slide 8 text
セキュリティ屋から見るPCI DSS
2
Slide 9
Slide 9 text
Copyright Kanmu, Inc. All right reserved.
セキュリティ屋から見るPCI DSS
9
意外とやれるじゃんね
2
セキュリティ長いことやってて監査に対して思っていたのはこんな感
じ
● 手間がかかるばかりでイマイチ効果なさそう
● 施策を進めるときに要件とバッティングするんじゃね?
実際に運用を回した結果
Slide 10
Slide 10 text
Copyright Kanmu, Inc. All right reserved.
セキュリティ屋から見るPCI DSS
10
ベースラインとして使いやすい
2
各要件が明確に書かれているので合わせていくだけでそれなりの
ベースが整う。全ての要件に合わせずとも特定の要件に合わせる
だけでもそれなりのレベルに上げられる。
● 要件6に合わせて開発プロセス全体をセキュアにする
● 要件12に合わせて組織全体の情報セキュリティ体制を整える
など
Slide 11
Slide 11 text
Copyright Kanmu, Inc. All right reserved.
セキュリティ屋から見るPCI DSS
11
心の平穏が訪れる
2
● 各要件に沿ってフローや文書を整えていくと必要なものがだいたい揃う。
● 監査時には日常作業、定期運用、各種文書や開発コードレビューの記録
提出が求められ、結果として形骸化が許されない世界になる。
● いざというときに「あれが足りてないぞ」「これもなくない?」という事態が減
る。
Slide 12
Slide 12 text
Copyright Kanmu, Inc. All right reserved.
最近話題のPolicy as Codeとの親和性がとても高いんじゃないか。
日本語ポリシーを書いた場合、それに沿った実装を書くのもチェック
するのも手間で証跡も別で集める必要があるが、ポリシーをコード
にしてCIに組み込めば、実装がポリシー通りかその場でチェックで
きるし、日々ポリシーに沿って動いているという証跡にもなる。
セキュリティ屋から見るPCI DSS
12
可能性の世界
2
Slide 13
Slide 13 text
カンムのPCI DSS
3
Slide 14
Slide 14 text
Copyright Kanmu, Inc. All right reserved.
カンムのPCI DSS
14
2
Q. なぜカンムはPCI DSSを通すのか
A. カンムはイシュアだから
イシュアには遵守義務があるため、カンムが事業を続けていくには
毎年監査を通して準拠証明書を取り続ける必要がある。
カンムの場合はバンドルカードとPoolの2プロダクトがあり、それぞ
れで取得する必要がある
Slide 15
Slide 15 text
Copyright Kanmu, Inc. All right reserved.
カンムのPCI DSS
15
1年の動き
3
年1タスク
半期タスク
四半期
タスク
監査日程調整
証跡収集
実地監査
検出事項修正
AOC/ROC受領
年間を通して対応 1-2ヶ月 2-4週間
Slide 16
Slide 16 text
Copyright Kanmu, Inc. All right reserved.
カンムのPCI DSS
16
担当者が各要件に対応
3
● 要件ごとに担当者を割り振って負荷分散
● 定期運用タスクは各担当者が適宜対応
● 実地監査直前1ヶ月程度は各担当者が必要な証跡を集める作業
● 実地監査が終わると屍
Slide 17
Slide 17 text
Copyright Kanmu, Inc. All right reserved.
● 要件で定められている全てのドキュメント類はGitHub管理
● 定期運用や臨時のタスクはIssueを切って対応
● ドキュメント類の変更がある場合はPR作成
カンムのPCI DSS
17
全てGitHub管理
3
要件ごとにまとめたルール
定期運用タスクのIssue
Slide 18
Slide 18 text
Copyright Kanmu, Inc. All right reserved.
カンムのPCI DSS
18
そろそろ運用効率化をだな…
3
● 運用ガイドラインが秘伝のタレ化
○ 細かくアップデートしているが根本は手が入ってない
○ 読解コストが高め
● 5年ほど回し続けていて徐々に改善しているがまだまだ改善の
余地はある
● 年1監査前の証跡収集が人手なので自動収集したい
Slide 19
Slide 19 text
v4.0に向けてカンムがやること
4
Slide 20
Slide 20 text
Copyright Kanmu, Inc. All right reserved.
v4に向けてカンムがやること
20
ざっくりやること
4
v4.0へアップデートするためにやることは大きく3つ
● ガイドラインの全面リファクタ
● Policy as Codeの導入
● v3.2.1との差分を実装
Slide 21
Slide 21 text
Copyright Kanmu, Inc. All right reserved.
v4に向けてカンムがやること
21
ガイドラインのリファクタ
4
● 秘伝のタレ化しているガイドラインを全面的にリファクタ
● ポリシーとルールがごちゃごちゃしていて読むのに一苦労
● v4.0対応で大幅な書き換えあるし、いっそこの機会にリファクタし
ようぜ!
● ポリシーとルールを分離してポリシーはコードに落とし込んで
ルールだけ文書として残す(形にしたい)
Slide 22
Slide 22 text
Copyright Kanmu, Inc. All right reserved.
v4に向けてカンムがやること
22
Policy as Codeの導入
4
● リファクタしたポリシーをコードに落とし込む
● CIで回せるようにワークフローの整備
● 証跡はCIのログを提出
● 理想としてはこのポリシーを見せて監査を乗り切りたい
○ まぁ監査人がコード読めるのが前提だけど…
Slide 23
Slide 23 text
Copyright Kanmu, Inc. All right reserved.
v4に向けてカンムがやること
23
v3.2.1との差分実装
4
● v4.0で文書がいくつか増えたのでその分を作成
● ライブラリ管理に言及されたのでいっそSBOMでの管理をし始め
てもいいかなと検討中
○ これを機にサプライチェーンセキュリティにも本腰
● プロダクト側もv4.0に合わせた変更を入れる
Slide 24
Slide 24 text
Copyright Kanmu, Inc. All right reserved.
一緒にやろう!!!
https://kanmu.co.jp/jobs/
Slide 25
Slide 25 text
Copyright Kanmu, Inc. All right reserved.
ありがとうございました!